ドメイン登録情報とEPDP
Statton Hammock
Vice President, Global Policy & Industry Development
2019年3月5日
ドメイン名登録情報(一般に「WHOIS情報」と呼ばれる)の収集、保存、転送、および開示に関する今後の方針を作成することを目的としたICANNのEPDPグループは、2月にフェーズ1を締め切りました。GNSO評議会は、ドメイン名登録情報の新方針として承認するよう推奨し、ICANN理事会にレポートを送ることになりました。
EPDPは、知的財産権保有者、法執行機関、児童保護擁護団体、およびサイバーセキュリティの専門家の観点から、WHOIS情報を取り扱うための合法的根拠および目的を特定するという仕事をしていました(GDPRが要求する気が滅入る仕事です)。 しかし結果はGDPRの実際の範囲に適合し、ドメイン登録者の権利と世界の公共の利益とのバランスをとる政策を確定するにはほど遠いものでした。
EPDPはフェーズ1の最終報告書の152ページで、どの「データ要素」(WHOISデータフィールド)をレジストラが収集および保存するべきなのか(推奨事項5および6)またどのデータ要素が公表されるのかを(推奨事項10)含む 29の方針推奨事項を発表しました。
ICANNの既存のWHOISを可能な限り保持するという意図に反して、EPDPはこの方針をGDPRの管轄の範囲に制限しないとしました。 新方針のグローバルな適用性とレジストリとレジストラへの利便性をため、EPDPはすべての登録者のWHOIS情報の修正を認めました。これはレジストリおよびレジストラが欧州法を管轄外で適用することを許可し(推奨事項#16)、GDPRの適用を明示的に否認する企業および法人に法律を拡張することになります。
さらに厄介なのは、フェーズ1からのポリシーの推奨事項が、最初の暫定仕様にある要件の効力を弱めてしまっていることです。 たとえば、暫定仕様では、登録者の組織(「Org」)フィールドを公開する必要がありました。 しかし最終報告書では、レジストラまたはレジストリが登録者にOrgフィールドのデータを確認または修正させる手順を作成するまで、Orgフィールドを編集することができてしまいます。
問題はそれだけではありません。レジストラは登録者の連絡先を1つだけ収集するだけでよくなり(管理者用および技術用の連絡先は不要)、レジストラとしては顧客に技術担当者のコンタクト先を指定するよう提案することもできます(推奨事項#5) 。その場合、サポートされている技術連絡先データは、名前、電話番号、およびEメールアドレスだけになってしまいます。暫定仕様と同様に、新方針でもレジストラは登録者の実際のメールアドレスを同意なしに公表することが禁止されています。連絡を容易にするために、レジストラが匿名のEメール転送アドレスまたはホストするWebフォームを提供することを義務付けています(推奨項目#13)。この方針ではレジストラがどの方法を採るか明示することも、WebフォームのURLを投稿しやすいよう目立つ所におくことも要求されていません。これによりドメイン所有者への連絡方法に関する手がかりがなくなってしまうのです。
暫定仕様書は、登録者情報の合法的な処理のために合法的な目的として、消費者保護、サイバー犯罪の調査、DNSの悪用、および知的財産保護を明確に認識していました。 EPDPの最終報告書には、これらの正当な目的のいずれについても特別な言及はなく、単に「ICANNの使命に従ったドメインネームシステムのセキュリティ、安定性、および回復力」を目的とした取り扱いに関する文言が「知的財産権の侵害を調査する過程での開示を妨げるべきではない」と付け加えた脚注とともにあるだけです。この文言はICANNの権限内の他の目的の中でも、暫定仕様書に明示的に列挙された目的を含むようにしていますが、消費者保護、サイバー犯罪捜査、DNSの悪用、および知的財産権保護の仕事で必要とする人たちが求める特異性を欠いています。
一方、EPDPでは第三者から合理的な要求を受けた場合、非公開の登録者情報へのアクセスを提供するというレジストラおよびレジストリの義務に関して重要な進歩がありました。推奨事項#18は編集された登録者情報の合法的開示を要求するための具体的な基準を規定しています。 これによりブランド保護の責任者、サイバーセキュリティアナリスト、および法執行機関が、レジストラが妥当性テストを実行し、最終的に要求されたデータを提供するかどうかを決定することを要求する際に役立ちます。
レジストラは自身のウェブサイト上で誰でもアクセス可能な場所にこのリクエストを提出するための方法と手順を公開します。リクエスト提出のための形式が大変明確であるにも関わらす、推奨事項は、レジストラまたはレジストリに情報開示を要求せず、代わりにレジストラおよびレジストリが開示メリットに関して彼らの主観的評価に基づいて回答することを許可しています。 レジストラとレジストリの回答基準を定義するための作業は、EPDPのフェーズ2で継続されます。
フェーズ1では、将来の第三者認定および非公開の編集済みの登録者データへのアクセスに関するポリシーについては取り上げられませんでした。 これは来週、日本の神戸で開催されるICANNミーティングで開始予定の第2フェーズ、フェーズ2で開始されます。
MarkMonitorのGRMチームのメンバーは、法執行機関、サイバーセキュリティの専門家、児童保護の支持者、ブランド保有者がオンラインでの虐待や犯罪を防ぐための重要な情報を入手できるアクセスモデルについて合意を得ることを願い次回のフェーズに参加します。
